Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> Windows Serverチュートリアル >> Windows 2000 LANのグループポリシー管理

Windows 2000 LANのグループポリシー管理

  

Windows 2000オペレーティングシステムでは、グループポリシーを使用して、ユーザーとコンピュータグループのユーザーとコンピュータの構成を定義できます。グループポリシーを使用することにより、Microsoft管理コンソール(MMC)は特定のユーザーおよびコンピュータグループに対して個別設定を作成できます。グループポリシー構成は、グループポリシーオブジェクト(GPO)に含まれています。これは、サイト、ドメイン、組織単位(OU)など、選択したActive Directoryサービスコンテナーに関連付けられています。グループポリシーオブジェクトには、非ローカルグループポリシーオブジェクトとローカルグループポリシーオブジェクトの2種類のオブジェクトがあります。

ドメインコントローラに格納されている非ローカルグループポリシーオブジェクトは、Active Directory環境でのみ使用できます。これらは、グループポリシーオブジェクトが関連付けられているサイト、ドメイン、または組織単位内のユーザーとコンピュータに適用されます。

ローカルグループポリシーオブジェクトは、各ローカルコンピュータに格納されています。 1台のコンピュータに保存できるローカルグループポリシーオブジェクトは1つだけです。ローカルグループポリシーオブジェクトには、ローカル以外のグループポリシーオブジェクトで使用できる設定のサブセットがあります。この2つの設定が矛盾している場合は、ローカルではないグループポリシーオブジェクトの設定がローカルのグループポリシーオブジェクトの設定よりも優先されます。矛盾がなければ、それを適用することができます。

グループポリシーを使用して、ユーザーの作業環境の状態を1回だけ定義し、管理者定義のポリシーを実装してユーザーとコンピュータを管理できます。

I.グループポリシーセキュリティの概要

グループポリシーには、ドメインまたはコンピュータグループに適用される多数のセキュリティ権利プロファイルが含まれています。グループポリシーオブジェクトは、LAN内のすべてのコンピュータに適用できます。グループポリシーは1台のコンピュータの起動時に適用され、変更時にコンピュータが再起動されない場合はグループポリシーが定期的に更新されます。

1.グループポリシーのしくみ

グループポリシーは、Active DirectoryユーザーとMMCスナップインのドメインとフォルダに関連付けられています。グループポリシーによって付与されたアクセス許可は、このフォルダに格納されているコンピュータに適用されます。グループポリシーは、Active Directoryサイトとサービススナップインを使用してサイトに適用することもできます。サブフォルダは親フォルダからグループポリシーを継承し、サブフォルダは順番に独自のグループポリシーオブジェクトを持つことができます。フォルダに複数のグループポリシーが割り当てられている可能性があります。グループポリシーは、単一のセキュリティプロファイルを複数のコンピュータに適用するセキュリティグループを補足するものです。それは一貫性を高め、管理が簡単です。グループポリシーオブジェクトには、複数の種類のセキュリティポリシーを実装するアクセス許可とパラメータが含まれています。要約すると、グループポリシーは親サイトから子サイトおよびLANに渡すことができます。特定のグループポリシーが高度な親サイトに割り当てられている場合、このグループポリシーは、各コンテナ内のユーザーオブジェクトとコンピュータオブジェクトを含め、親レベルより下のすべてのサイトに適用されます。

2、グループポリシーのセキュリティ設定

グループポリシーオブジェクトのセキュリティ設定ノードにあるコンテナには、アカウントポリシー、ローカルポリシー、イベントログ、制限付きグループ、システムサービス、レジストリがあります。 、ファイルシステム、公開鍵ポリシー、Active Directoryのインターネットプロトコルセキュリティポリシーなど一部の戦略はドメインの範囲にのみ適用されます。つまり、ポリシー設定はドメイン内で行われます。たとえば、アカウントポリシーはドメイン内のすべてのユーザーアカウントに適用されます。同じドメイン内の異なる部門に異なるアカウントポリシーを定義することはできません。セキュリティポリシーの範囲については、アカウントポリシーと公開鍵ポリシーの両方にドメインスコープがあります。他のすべてのポリシー領域は部門レベルで設定できます。

3.セキュリティテンプレート

Windows 2000には、ネットワーク環境設定で使用するための一連のセキュリティテンプレートが用意されています。セキュリティテンプレートは、特定のセキュリティレベルに適した、Windows 2000ドメインコントローラ、サーバー、またはクライアントコンピュータ上のセキュリティ設定プロファイルです。たとえば、hisecdcテンプレートには、セキュリティの高いドメインコントローラーに適した設定が含まれています。セキュリティプロファイルをグループポリシーオブジェクトにインポートして、それをあるレベルのコンピュータに適用することができます。セキュリティプロファイルをパーソナルデータベースにインポートして、ローカルコンピュータのセキュリティポリシーを確認および構成します。

第二に、グループポリシーセキュリティ管理の実装

Windows 2000では、セキュリティ管理のLAN実装はサーバーとワークステーションから実行する必要があります。 Active Directoryサービスを最初にサーバーにインストールし、次にグループポリシーをドメインに実装し、次にワークステーションをサーバーによって管理されるドメインに配置する必要があります。

1. Active Directoryサービスを開始します。

[プログラム]→[管理ツール]→[サーバーの設定]オプションで、左側の[Active Directory]を選択してActive Directoryのインストールウィザードを起動します。セットアッププロセスで重要なのは、サーバーを最初のドメインディレクトリツリーとして設定することです、DNSドメイン名は、ISPから提供されたドメイン名に入力されますインターネットに接続しない場合は、任意に設定できます。

2、グループポリシーコンソールを開きます。

「Active Directoryディレクトリとユーザー」項目を起動し、右側のオブジェクトコンテナツリーのルートディレクトリを右クリックして、「プロパティ」項目をクリックします。新しく開いたウィンドウの[グループポリシー]タブをクリックして、グループポリシーコンソールを開きます。

3、グループポリシーの設定

Windows 2000のグループポリシーには、100を超えるセキュリティ関連の設定と450を超えるレジストリベースの設定があり、ユーザーのコンピュータ環境を管理するための多数のオプションを提供します。オプションが設定されると、ドメインにログインしているすべてのユーザーとワークステーションに適用されます。以下は、ポリシー設定の参考として、一般的な戦略を設定するための手順です。

a、最後のログインユーザー名を表示しないログインユーザー画面を有効にする

このオプションは、ユーザーアカウントのセキュリティを保護し、アカウントの盗難を防ぐことができます。このオプションの場所は、[コンピュータの構成]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティのオプション]の順にあり、このオプションをダブルクリックして[有効にする]を選択します。ユーザーが次回ドメインにログインすると、ポリシーはユーザーが操作するワークステーションに適用されます。

b。[アクティブデスクトップの壁紙]を起動します。

このオプションを使用すると、ドメインにログインしているLAN上のすべてのコンピュータで同じデスクトップの壁紙が使用され、変更できません。したがって、この戦略を設定することで、一時的なユーザーがデスクトップの壁紙を自由に交換できないようにして、ローカルエリアネットワーク内のワークステーションに同じインターフェイスを持たせることができます。このオプションの場所は、ユーザーの構成→管理用テンプレート→デスクトップ→アクティブデスクトップです。

Windows 2000アカウントのセキュリティ、グループポリシーのセキュリティ、フォルダのアクセス許可、およびその他のセキュリティ属性を包括的に適用することで、LAN内の各ワークステーションのセキュリティを保護できます。同時に、システムファイルを保護するためにアカウントセキュリティ属性を使用して、ウイルスの破壊に対して予防的な役割を果たすこともできます。

Copyright © Windowsの知識 All Rights Reserved